نظرة عامة
Cloud GRE/BGP BIG-IP
Section titled “Cloud GRE/BGP BIG-IP”- تكوين أنفاق GRE ونظير BGP من زوج BIG-IP عالي التوفر (يعمل بوصفه معدات مبنى العميل، CPE)، مع أنفاق مستقلة لكل وحدة.
- الاتصال بمراكز التنظيف الخاصة بـ التخفيف السحابي من DDoS في الوضع الموجَّه (L3/L4).
flowchart LR
INET["Internet<br/>Inbound Traffic"]
subgraph XC["F5 Distributed Cloud<br/>Global Anycast"]
SCRUB["DDoS Scrubbing<br/>L3/L4 Mitigation"]
DROP["Attack Traffic<br/>Dropped"]
end
subgraph DC["xDC_NAMEx Data Center"]
BIGIP["BIG-IP CPE<br/>(GRE endpoint)"]
SERVERS["DDoS-Protected Servers<br/><i>Your public IP block</i>"]
end
INET -->|"all traffic to your<br/>public IPs"| SCRUB
SCRUB -->|"clean traffic"| BIGIP
SCRUB -.->|"malicious traffic"| DROP
BIGIP --> SERVERS
SERVERS --> BIGIP
BIGIP -.->|"return traffic<br/>via ISP uplink<br/>(asymmetric path)"| INET
style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2pxالمتطلبات
Section titled “المتطلبات”- خدمة التخفيف الموجَّه من DDoS على طبقتي L3/L4 السحابية (دائم التشغيل أو دائم التوفر) مُفعَّلة لمستأجرك.
- BIG-IP مزوَّد بـ:
- LTM (أو وحدات شبكات مكافئة).
- التوجيه الديناميكي (BGP) مرخَّص ومُفعَّل.
- الوضع الموجَّه: بادئة /24 (أو أقصر) مُعلَنة علنيًا على الأقل
للحماية (الحد الأدنى لـ IPv6 هو /48).
- يجب أن تكون البادئات المحمية قابلة للتوجيه علنيًا (غير RFC 1918). يجب أن تكون نقاط النهاية الخارجية لـ GRE قابلة للتوجيه علنيًا أيضًا عندما تعبر الأنفاق الإنترنت العام؛ وقد تستخدم عمليات النشر التي تعتمد على الاتصال الخاص (L2، النظير الخاص) عناوين نقاط نهاية RFC 1918.
- الاتصال بين مركز البيانات/الموجِّه لديك ومركز (مراكز) التنظيف السحابية.
معمارية التوفر العالي
Section titled “معمارية التوفر العالي”يُنشر BIG-IP بوصفه زوجًا عالي التوفر من النوع نشط/احتياطي، وتحصل كل وحدة على أنفاق GRE مستقلة وجلسات BGP خاصة بها لكل مركز تنظيف:
flowchart LR
subgraph F5XC["F5 Distributed Cloud"]
C1["xCENTER_1x scrubbing center"]
C2["xCENTER_2x scrubbing center"]
end
subgraph DC["xDC_NAMEx Data Center"]
direction TB
subgraph UNITA["BIG-IP-A (Active)"]
A_C1["C1-T1 tunnel<br/>BGP Established"]
A_C2["C2-T1 tunnel<br/>BGP Established"]
end
subgraph UNITB["BIG-IP-B (Standby)"]
B_C1["C1-T2 tunnel<br/>Graceful-Restart Ready"]
B_C2["C2-T2 tunnel<br/>Graceful-Restart Ready"]
end
SERVERS["DDoS-Protected Servers"]
end
C1 -- "GRE C1-T1" --> A_C1
C2 -- "GRE C2-T1" --> A_C2
C1 -- "GRE C1-T2" --> B_C1
C2 -- "GRE C2-T2" --> B_C2
UNITA --> SERVERS
UNITB --> SERVERS
style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px- نقاط نهاية الأنفاق المستقلة: تمتلك كل وحدة BIG-IP عنوان IP خارجيًا ذاتيًا
غير عائم خاصًا بها (
traffic-group-local-only) ومجموعتها الخاصة من أنفاق GRE. تستخدم BIG-IP-A عنوانxBIGIP_A_OUTER_V4xوتستخدم BIG-IP-B عنوانxBIGIP_B_OUTER_V4xكنقاط نهاية للأنفاق. يتجنب ذلك الاعتماد على عنوان IP عائم لمصدر النفق. - جلسات BGP المستقلة: تُشغِّل كل وحدة جلسات BGP الخاصة بها عبر أنفاقها الخاصة. تتعامل BIG-IP-A مع C1-T1 و C2-T1 كنظراء؛ وتتعامل BIG-IP-B مع C1-T2 و C2-T2 كنظراء. عند الإخفاق، تكون جلسات BGP الخاصة بالوحدة الاحتياطية قد أُنشئت مسبقًا، بحيث يمكن للسحابة تحويل حركة المرور فورًا.
- مزامنة التهيئة: يتم مزامنة تهيئات الأنفاق وعناوين IP الذاتية والتوجيه
بين الوحدات عبر config-sync. نظرًا لأن تهيئة BGP الخاصة بـ
imishتكون لكل وحدة على حدة، تحتفظ كل وحدة ببيانات الجوار الخاصة بها. تحقق من أن المزامنة تشمل جميع كائنات tmsh. - سلوك BGP في النمط النشط/الاحتياطي: تُعلن الوحدة النشطة عن البادئات المحمية بسمات BGP الاعتيادية. يمكن للوحدة الاحتياطية إما الإعلان عن البادئات ذاتها بإعادة إلحاق AS-path أطول (مما يجعلها أقل تفضيلًا) أو إيقاف الإعلانات حتى يحدث الإخفاق. تنسَّق مع مركز العمليات الأمنية (SOC) بشأن النهج المناسب.
- تقارب الإخفاق: مع تفعيل
graceful-restartوالأنفاق المستقلة، تمتلك الوحدة النشطة الجديدة جلسات BGP مُنشأة مسبقًا. يعتمد التقارب على انتقال اختيار المسار الأفضل في BGP إلى إعلانات الوحدة النشطة حديثًا. اختبر ذلك باستخدامrun sys failover standby.